WP Maltor: Plugin de seguridad WordPress para banear direcciones IP maliciosas

¿Quieres evitar que desde direcciones IP reportadas como maliciosas accedan a tu WordPress? ¿Prefieres que no accedan a tu WordPress desde Tor? Ahora con el nuevo plugin de seguridad WordPress, WP Maltor, puedes conseguirlo de una manera muy sencilla.

Este plugin, desarrollado conjuntamente por David Merinas de la empresa Deidos y Miguel Ángel Arroyo de SVT Cloud Services, mantiene actualizada una base de datos de direcciones IP que están reportadas como maliciosas, así como una lista de nodos Tor.

Desde ya el plugin de seguridad WordPress está disponible en el repositorio oficial de WordPress y listo para su instalación.

Enlace del plugin WP Maltor: https://wordpress.org/plugins/wp-maltor/

WP Maltor - Plugin de seguridad para WordPress

La instalación es muy simple y desde el momento que lo instales, y actives el plugin, ya estarás bloqueando el acceso a direcciones IP maliciosas y a nodos de Tor.

WP Maltor - Plugin de seguridad para WordPress

El plugin en su primera versión no requiere de configuración adicional. Sólo activar el plugin y estará listo para bloquear direcciones IP.

WP Maltor - Plugin de seguridad para WordPress

En la siguiente imagen se puede ver una captura del plugin en funcionamiento, bloqueando el acceso desde una IP maliciosa o proveniente de un nodo Tor.

WP Maltor - Plugin de seguridad para WordPress

Esperamos que os guste y os resulte útil.

Descárgate Hackstory, el libro sobre la historia de los hackers españoles

Ya puedes descargarte el ebook Hackstory de Mercè Molist. Tal y como se define en la Web del libro, “La historia nunca contada del underground hacker en la Península Ibérica“.

HackstoryDescargar epub

Metadatos en Twitter con Rest API 1.1

Muchas veces no nos damos cuenta de la cantidad de datos que ofrecemos en la redes sociales cada vez que publicamos alguna nueva entrada. ¿Qué pasaría si accediéramos a la base de datos que utiliza cualquiera de estas redes sociales? Además de la información que vemos , ¿qué otra información guardan?

Vamos a ver que información obtenemos haciendo uso de la REST API 1.1 de Twitter que utilizan los desarrolladores de apps móviles (entre otros) para hacer peticiones al servidor y recuperar toda la información de usuarios, tweets, imágenes, etc. Aquí tenéis el enlace dentro de su sitio Web (https://dev.twitter.com).

¿Qué es REST? 

Es una arquitectura basada en el estándar HTTP y que nos permite crear servicios que pueden ser utilizadas por cualquier dispositivo cuyo cliente pueda trabajar con HTTP. Esto nos permite ofrecer un servicio Web accesible desde cualquier apps que entienda el protocolo HTTP, independientemente del sistema operativo en el que nos encontremos.

REST API 1.1 Twitter

Concretamente la tecnología que utiliza Twitter es precisamente la comentada anteriormente. Han creado para ello una API, actualmente la versión la versión 1.1, donde nos permite hacer uso de su servicio Web para acceder a los datos de su servidor. En esta versión 1.1 es necesario realizar las peticiones al servicio REST con alguno de los mecanismos de autenticación disponibles  (https://dev.twitter.com/docs/auth). 

Accediendo a la consola

Nosotros vamos a hacer peticiones a su servicio REST por medio de su consola (https://dev.twitter.com/console). 

01apiConsole

Consola de la REST Api de Twitter

Vamos a usar el método de autenticación OAuth, para lo cual debemos loguearnos con nuestro usuario y contraseña de Twitter y autorizar la aplicación de consola a utilizar como vemos en las siguientes imágenes.

01apiConsoleOAuth

Métodos de Autenticación para el uso de la REST Api 1.1

04apiOauth

Autorización de la consola

 

Consultas desde la consola

Ahora ya tenemos todo preparado para hacer consultas al servicio REST haciendo uso de la API 1.1 de Twitter. Debemos tener en cuenta que la contestación de las respuestas se lleva a cabo en formato JSON. Vamos a ver cuales son las posibilidades que tenemos accediendo a la documentación de la misma (https://dev.twitter.com/docs/api/1.1)

Ej.1 – Buscando tweets de una cuenta.

Vamos a averiguar que software ha creado ese tweet: Android, IOS, Paper.li, Buffer, Tweet Old Post… y la cuenta que lo ha creado, junto con su id.

Ejecutamos para ello la siguiente URI:

https://api.twitter.com/1.1/search/tweets.json?q=@hacking_etico y buscamos dentro de sus resultados en formato JSON la caracterítica source de cada uno de los tweets. El resultado lo podemos ver a continuación.

ej1-consola

Usuario que usa Twitter desde Android

ej1-consola2

Usuario que usa Twitter desde iPhone

 

Ej.2 – Buscando tweets en un lugar geolocalizable.

Vamos a dar unas coordenadas que podemos averiguar de Google Maps con un radio de acción de 1km y una palabra de búsqueda. 

Ejecutamos para ello la siguiente URI:

https://api.twitter.com/1.1/search/tweets.json?q=ccf&geocode=37.872371,-4.764628300000027,1km donde las coordenadas que hemos dado son las del estadio del Córdoba CF y la palabra de búsqueda es CCF. El resultado sería el siguiente:

ej2-consola

Búsqueda de tweet geolocalizable.

ej2-consola2

Tweet encontrado en coordenadas dadas.

 Conclusiones

Esta es alguna de la metainformación que podemos manejar en Twitter para obtener interesantes búsquedas, todo ello manejando sus datos como si de una consulta en una BBDD se tratase. Existen muchas otras posibilidades dentro de la API 1.1 que seguro o serán muy interesantes: filtros de fechas, relación entre usuarios, geolocalización inversa, búsqueda de lugares, búsqueda de tweets por ip, etc.

Un handshake para todos !! @eduSatoe

 “Nunca darse por vencido. Nunca aparentar.

Nunca mantenerse inmóvil. Nunca aferrarse al pasado.

Nunca dejar de soñar

Steve Jobs

Privacidad en Android

Tras los últimos descubrimientos mostrados en la BlackHat de Las Vegas nos damos cuenta que nuestra privacidad está muy a merced de las grandes compañías e incluso de los gobiernos. Es por ello que cuantas más sean las medidas que utilicemos para preservar nuestra privacidad, más difícil será que comercialicen con nuestros datos. Por ello vamos a tratar la privacidad en nuestro sistema Android desde varios puntos de vista:

-La privacidad en cuanto a los permisos que concedemos a las aplicaciones.
-La privacidad en cuanto a los datos que tenemos en nuestro teléfono.
-La privacidad en cuanto a las mensajes y llamadas.
-La privacidad en cuanto al acceso Web.

Privacidad controlando los Permisos

Son muchas las aplicaciones contenidas en Google Play que nos solicitan más permisos de los necesarios para poder comercializar con nuestros datos, tan solo tenemos que echarle un vistazo a los permisos que nos solicita la última actualización de Facebook o uno de los juegos de moda del momento.

01 Permisos Running Shadow

Una de las medidas de control de privacidad que introdujo Google en Android 4.3 (Jelly Bean) como característica oculta fue “App Ops”. Esta característica te permite el control de privacidad sobre tus aplicaciones, de manera que podamos activar o desactivar cada uno de los permisos que se adjudican a las mismas.

02 app ops

Google siguió mejorándola en la versión 4.4 (Kit Kat) hasta que en la 4.4.2 la hicieron inaccesible a usuarios finales y sólo podía ser utilizada para temas de depuración por los desarolladores de Google. Esta característica hizo eco en varios colectivos de desarrolladores y han ido apareciendo aplicaciones que la implementan.

03 - Lista App Ops

Otra de las apps que utilizan esta característica y es bastante famosa es XPrivacy, la cual está desarrollada por el grupo XDA. Para poder instalarla necesitaremos ser root e instalar el Xposed Framework.

04 - Privacy

La otra opción que tenemos es hacer uso de alguna ROM de Android que ya incorpore las opciones de privacidad. Esta ROM es CyanogenMod y el grupo de desarrollo ha llamado Privacy Guard 2.0 a la implementación de esta característica dentro del sistema. ¿Qué nos permite? Al igual que en los otros casos, controlar los permisos de las aplicaciones y avisarte cuando están intentando acceder a ellos. Otras posibilidades que nos ofrece es tener una lista negra de contactos para bloquear SMS/llamadas o cifrar SMS.

05 - Privacy Guard 2

Privacidad cifrando nuestros datos

Otro punto a tener en cuenta en cuanto a nuestra privacidad es el de cifrar aquellos datos que no queremos que sean accesibles a otras personas, caso de que nuestro terminal haya sido vulnerado o nos lo hayan robado. Para proteger estos datos sensibles existe una app gratuita llamada Cryptonite, está basada en EncFS y TrueCrypt; y nos permite trabajar con Dropbox, nuestras carpetas locales o incluso trabajar desde un terminal.

06 -Cryptonite

Privacidad en mensajes y llamadas

Para asegurar las comunicaciones tanto de mensajes de texto como de llamadas podemos utilizar dos aplicaciones.

La primera de ellas es Wiper, presente tanto para Android como para IOS, la cual es una aplicación de mensajería/llamadas donde se pueden enviar tanto mensajes escritos como de voz o archivos multimedia. La peculiaridad de esta app es que nos permite envío de mensajes a destinatarios y su posteriormente usando su botón de “Limpiar” no deja rastro de los mismos. Incluso si el destinatario del mensaje intenta hacer una captura de pantalla del mensaje o reenviarlo a terceras personas la app avisará al emisor del mismo. Con esta aplicación no quedan rastros en el servidor de nuestras comunicaciones.

07 -Wiper

La otra app es RedPhone, la cual nos ofrece un servicio de llamadas cifradas a través de VoIP haciendo uso de SRTP para cifrar las conversaciones y de ZRTP para negociar la clave privada que se utilizará para asegurar el canal. El código de dicha aplicación está disponible en GitHub para asegurarnos que ofrecen llamadas telefónicas seguras y cifradas. Dicha app también nos da servicio de TextSecure para cifrar nuestros mensajes de texto y enviarlos a través de un canal seguro.

08 - Red Phone

Privacidad en acceso Web

A la hora de hablar de privacidad en el acceso Web no nos queda otra que hablar de TOR. Nuestro objetivo no es presentar sus cualidades, porque ya existen muchos artículos escritos por la red y más ahora si cabe con los nuevos descubrimientos de la Black Hat 2014 sobre su posible vulnerabilidad a la hora de localizar los nodos que lo utilizan. Si queremos preservar nuestro anonimato navegando por la red o al menos ponérselo difícil a los malos, podemos usar la app para Android llamada Orbot donde además de la app disponible en Google Play debemos instalar su navegador Web Orweb.

09 - TOR

Con este conjunto de apps seguro que os sentiréis algo más protegidos, aunque ya sabéis que la seguridad 100% no existe.

Un handshake para todos !! @eduSatoe

El trabajo duro le gana al talento cuando el talento no trabaja duro” 

A. Jonak

Anonimato en la red con I2P

Siempre que hablamos de anonimato en Internet, lo primero que se nos viene a la cabeza es TOR. Sin embargo, no es la única iniciativa existente, que pretenda proporcionarnos el mayor nivel de anonimato y seguridad en nuestras comuniciaciones.

En 2002, nace TOR, con la idea de construir una red distribuida, dentro de Internet, que permita una comunicación anónima y segura. En 2003, nace I2P (Invisible Internet Project), con la misma idea. La primera utiliza “onion routing” y, la segunda, “garlic routing” para intentar conseguir este objetivo. En realidad, ambos tipos de enrutamiento presentan muchas similitudes.

¿Cómo funciona I2P?

En esta red, para conseguir anonimizar los mensajes enviados, necesitamos un router I2P. Este router, creará unos túneles de entrada y, otros tantos, de salida, unidireccionales. Si queremos enviar un mensaje a un cliente, será enviado por un túnel de salida, hacia un túnel de entrada del mismo.

Para encontrar los túneles hacia el cliente que queremos conectar, se hace una búsqueda en la base de datos distribuida, utilizando una adaptación del algoritmo algoritmo Kademlia.

Estos túneles serían algo parecido a los circuitos que se utilizan en TOR, con una diferencia: Tienen una corta duración. Esto, en principio, permitiría, en caso de un ataque, complicar la captura de datos por parte del atacante.

Las apliciones y webs están alojadas bajo un dominio, .i2p, similar a los dominios .onion. Para acceder a ellos, necesitamos hacerlo a través del router I2P. También podremos navegar fuera de I2P, quedando nuestra IP oculta, al igual que ocurre con TOR.

Podemos utilizar cualquier aplicación web que queramos. Dentro de nuestro router, apuntaríamos a ella, para poder utilizarla. En principio, disponemos de varias aplicaciones preconfiguradas, como un servidor web, correo electrónico, cliente bittorrent, irc, etc.

Consola del router I2P

Read more

El peligro de las URL acortadas

Llevo ya varias semanas viendo como algunas cuentas de Facebook y Twitter, con algún interés oculto (o no), publican imágenes impactantes acompañados de una URL, acortada para no descubrir el destino final. El peligro de las URL acortadas es que a simple vista no sabemos hacia dónde nos llevará cuando hagamos clic en ellas.

Esta URL, en el caso que os expongo a continuación, a diferencia de llevar a un sitio Web con la información completa e “impactante” según indicaba la publicación, nos llevará a un sitio de vídeos de pornografía o incluso a un sitio Web malicioso, preparado para infectar nuestro equipo con algún malware.

Veamos un ejemplo:

Peligro de las URL acortadas

En la imagen superior podéis ver un ejemplo claro. Texto impactante, imagen impactante y supuestamente una URL que nos llevará a un vídeo, más impactante todavía. Vamos, ¡aquí hay que pinchar sí o sí!

Nada más y nada menos que 1.649 retweets de la publicación… Alguno caerá, seguro.

Pero, ¿y si comprobamos antes la URL? Está acortada, pero ¿por qué no descubrimos dónde nos llevaría antes de hacer clic?

El peligro de las URL acortadas

En la publicación observamos la URL http://goo.gl/hJsxiV (acortador de URL) que sin embargo, al poner el puntero del ratón encima, nos llevará a http://t.co/pnYhDc5SBR (otro acortador URL) como podemos observar en la barra de estado del navegador Web.

Bien, sin hacer clic en el enlace, ¿cómo podemos saber dónde nos llevará? Para eso disponemos de unos recursos online que nos permiten expandir este tipo de URL y mostrarnos la dirección Web real.

Uno de estos servicios es http://checkshorturl.com:

En este sitio Web escribimos la URL acortada http://t.co/pnYhDc5SBR y hacemos clic en el botón Expand.

El peligro de las URL acortadas

Y a continuación el resultado de expandir esta URL:

El peligro de las URL acortadas

Poco más que añadir…

Impactante“, ¿verdad?

Cisco: Cómo hacer frente al ciclo completo de un ataque

En esta nueva entrada del blog queremos compartir con vosotros un informe que seguro que resultará de interés. Es un documento de Cisco donde explica cómo hacer frente al ciclo completo de un ataque.

No hace falta decir que los ataques que se llevan a cabo hoy en día no tienen nada que ver con los que se hacían hace 20 años. Ya no se trata sólo de virus, gusanos o troyanos. En la actualidad se utilizan ataques de tipo APT y técnicas avanzadas de ciberguerra.

Ademas, tal y como ya hemos comentado en otro post en el blog, se hace hincapié en la importancia del ciclo completo del ataque: antes, durante y después. Es el nuevo modelo de seguridad.

The New Security Model

Antes, porque hay que descubrir posibles fallas o vulnerabilidades antes de que lo hagan posibles atacantes, e implantar las medidas oportunas para blindar nuestros sistemas de información.

Durante, porque es fundamental detectar el ataque que estamos recibiendo y tener los recursos suficientes para poder bloquearlo y defenderse de la amenaza que pone en riesgo los activos de nuestra organización.

Después, porque llegados a este fatídico punto y hemos sido finalmente víctimas de un ataque informático será crucial poder definir el ámbito del ataque, activos afectados e implantar las contramedidas oportunas para remediar y mitigar los riesgos para que no vuelva a suceder.

Todo ello y mucho más lo podréis encontrar en este informe:

Cisco: Cómo hacer frente al ciclo completo de un ataque

Como siempre, esperamos que sea de vuestro interés.

¡Hasta la próxima!

Evento (ISC)2 SecureIberia: Securing the Enterprise

El próximo 16 de septiembre tendrá lugar en Madrid el evento (ISC)2 SecureIberia, organizado por (ISC)2 y de cuya Junta forma parte nuestro CEO Josep Bardallo. El evento que será gratuito para miembros de (ISC)2 y que tendrá un coste de 99 € para el resto, girará entorno a la seguridad en una organización.

En una empresa, la seguridad IT ya no se puede centrar sólo en la seguridad perimetral, debe ir mucho más allá y abarcar todos los procesos, sistemas y personal que intervienen en el día a día de la organización. Además entran nuevos jugadores a escena: la adopción de dispositivos móviles, evolución de redes de comunicaciones o la presencia en redes sociales.

En el evento se explicarán estos nuevos conceptos para entender mejor hacia dónde va dirigida la seguridad en una organización.

Más información en este enlace.

Logo (ISC)2

Phishing en un sitio Web comprometido

A raíz de una consulta de un alumno del curso de Hacking Ético, decidí investigar acerca de un enlace que había recibido de un amigo suyo, que éste no había enviado. Me comentaba que se trataba de un enlace falso que al parecer robaba las credenciales de algunos servicios de correo como Gmail. Obviamente, a nosotros en hacking-etico.com todo lo que sea investigar este tipo de delitos nos encanta, y si puede servir para ayudar y concienciar, mejor.

En primer lugar utilicé servicios online para analizar URL y verificar si se trata de una URL maliciosa o no, y en caso de que lo sea, por qué y qué motores de análisis lo detectan como tal. He usado virustotal.com obteniendo el siguiente resultado.

Phishing en un sitio Web comprometidoPara evitar problemas de confidencialidad y reputación, hemos preferido ocultar los datos del sitio Web. Además desde el equipo de hacking-etico.com nos pondremos en contacto con los responsables del sitio advirtiéndoles de que están siendo víctimas y su sitio está siendo usado para realizar phishing. Sí se puede observar que se trata de un dominio .com.ve, de Venezuela.

Como podéis observar dos motores, de los más importantes, nos indican que se trata de un sitio Web malicioso. Incluso Fortinet va más allá y lo cataloga como un sitio de phishing. Mini-punto para Fortinet. Read more

Descubriendo otro perfil falso en Facebook

En una entrada anterior ya explicábamos cómo utilizar Google Images para buscar una imagen que ha sido usada en otros sitios Web, como por ejemplo, en redes sociales con perfiles falsos. De hecho en esa entrada ya nos centrábamos en un perfil falso de Facebook.

Hoy volvemos a explicarlo pero con un perfil muy reciente, que posiblemente muchos de vosotros estéis viendo en Facebook con algún tipo de promoción de la red social o con el típico mensaje de “Personas que quizás conozcas“. O porque te lo comente un amigo por Facebook, como ha sido el caso de mi amigo Tino.

Perfil falso en FacebookEn este caso se trata de un perfil llamado Bella Dulce en el que aparece una chica ligerita de ropa y con un “postureo” muy sugerente. Otra cosa que me llama la atención es que supuestamente estudia en la Universidad de Málaga [...] Bien, todo es posible. Read more